[기획특집] “자고 일어났더니 200만 원 결제?”… 쿠팡 ‘계정 탈취’의 악몽, 당신의 지갑은 안전한가

작성자:

[기획특집] “자고 일어났더니 200만 원 결제?”… 쿠팡 ‘계정 탈취’의 악몽, 당신의 지갑은 안전한가

 

편리함의 대명사 ‘로켓페이’의 배신… 보안 빗장 풀린 쿠팡, 소비자 불안감 최고조

대한민국 국민 5명 중 1명이 사용한다는 ‘국민 쇼핑 앱’ 쿠팡. “주문하면 내일 도착한다”는 로켓배송의 혁신은 우리의 삶을 완전히 바꿔놓았습니다. 하지만 최근 그 편리함의 이면에 숨겨진 치명적인 보안 구멍이 드러나며 소비자들을 공포로 몰아넣고 있습니다.

새벽 배송을 기다리던 설렘이, 누군가에게는 하루아침에 수백만 원이 빠져나가는 금융 사기의 악몽으로 변하고 있습니다. 이른바 **’크리덴셜 스터핑(Credential Stuffing)’**으로 불리는 해킹 공격과 부정 결제 시스템의 허점을 파헤치고, 왜 유독 쿠팡에서 이러한 피해가 반복되는지 심층 분석했습니다.

1. 사건의 재구성: “내 아이폰이 낯선 곳으로 배송되고 있다”

 

서울 마포구에 거주하는 직장인 A씨(34세)는 지난 주말, 황당하고도 공포스러운 경험을 했습니다. 새벽 3시, 잠결에 울린 휴대폰 진동 소리에 눈을 뜬 그는 카드사로부터 날아온 승인 문자를 보고 자신의 눈을 의심했습니다.

[카드승인] 1,680,000원 (일시불) 쿠팡

자신이 잠든 사이, 누군가 A씨의 쿠팡 계정에 접속해 최신형 아이폰을 주문한 것입니다. 놀라 쿠팡 앱을 켜보니 배송지는 생전 처음 보는 지방의 한 오피스텔로 변경되어 있었고, 배송 상태는 이미 ‘배송 준비 중’을 지나 ‘배송 시작’ 단계로 넘어가고 있었습니다.

A씨는 즉시 결제 취소를 시도했지만, 이미 송장 번호가 출력된 상태라 취소가 불가능했습니다. 고객센터는 심야 시간이라 연결되지 않았고, 카드사에 전화를 걸어 정지 신청을 하는 사이 범인은 유유히 사라졌습니다. 이는 비단 A씨만의 이야기가 아닙니다. 최근 인터넷 커뮤니티와 소비자 보호원에는 이와 유사한 피해를 호소하는 글들이 빗발치고 있습니다.

2. 해커들은 어떻게 뚫었나? : ‘크리덴셜 스터핑’의 공습

 

보안 전문가들은 이번 사태의 주원인으로 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격을 지목합니다.

이 기법은 해커가 특정 사이트의 서버를 직접 해킹하여 뚫는 것이 아닙니다. 다른 사이트에서 유출된 사용자의 아이디(ID)와 비밀번호(PW) 정보를 수집한 뒤, 이를 자동화된 프로그램을 통해 쿠팡 같은 대형 사이트에 무차별적으로 대입해 로그인에 성공하는 방식입니다.

대다수의 한국 사용자들은 여러 사이트에 동일한 아이디와 비밀번호를 사용합니다. 해커들은 바로 이 점을 노립니다. 보안이 취약한 중소형 웹사이트 하나만 털리면, 그 정보를 이용해 보안이 철저한 대형 쇼핑몰까지 프리패스로 뚫리는 셈입니다.

하지만, 여기서 중요한 질문이 생깁니다. “다른 사이트 정보로 로그인을 했다 치자, 어떻게 비밀번호 입력도 없이 수백만 원 결제가 가능한가?”

바로 여기에 이번 사태의 핵심인 **’쿠팡의 구조적 허점’**이 있습니다.

3. 편리함의 덫: “비밀번호 없는 결제”가 화를 키웠다

 

쿠팡이 자랑하는 간편 결제 시스템 ‘쿠페이(Coupay)’는 압도적인 편리함을 제공합니다. 결제 비밀번호 6자리를 누를 필요도 없이, ‘밀어서 결제하기’ 혹은 ‘원터치 결제’ 기능만 활성화되어 있으면 버튼 하나로 즉시 주문이 완료됩니다.

이는 사용자 경험(UX) 측면에서는 혁신이지만, 보안 측면에서는 **’양날의 검’**이 되었습니다.

  • 타 금융 앱의 경우: 네이버페이, 카카오페이, 토스 등은 새로운 기기에서 접속하거나 고액을 결제할 때 반드시 **2차 인증(ARS, 지문, 별도 비밀번호)**을 요구합니다.

  • 쿠팡의 경우: 한번 로그인된 상태라면, 혹은 자동 로그인이 설정된 상태라면 추가적인 본인 인증 절차 없이 수백만 원짜리 가전제품 결제가 가능합니다. (설정에 따라 상이하나, 기본 설정이 보안에 취약한 경우가 많습니다.)

해커 입장에서는 로그인이라는 1차 관문만 통과하면, 그 뒤에 있는 금고(결제 수단)는 활짝 열려 있는 것과 다름없습니다. 특히 쿠팡은 배송지 변경 또한 별도의 인증 없이 너무나 쉽게 이루어집니다. “로그인 → 배송지 변경 → 원터치 결제” 이 모든 과정이 1분 안에 끝납니다. 피해자가 문자를 보고 대처할 틈도 주지 않는 것입니다.

4. 중국발 해킹 조직의 조직적 개입 정황

 

이번 사태가 더욱 심각한 이유는 이것이 단순한 개인 해커의 일탈이 아닌, 조직적인 범죄의 형태를 띠고 있다는 점입니다.

보안 업계에 따르면, 다크웹(Dark Web)에서는 한국인의 쿠팡 계정 정보가 개당 몇 천 원 수준에 거래되고 있습니다. ‘결제 수단이 등록된 계정’, ‘로켓와우 회원 계정’ 등 상세한 조건까지 붙어 판매됩니다.

피해 사례를 분석해 보면 공통적인 패턴이 발견됩니다.

  1. 새벽 시간대 공격: 사용자가 잠든 새벽 2~5시 사이에 집중적으로 결제가 이루어집니다.

  2. 고가 환금성 상품 타겟: 아이폰, 아이패드, 순금 골드바, 상품권 등 현금화가 쉬운 물품을 주로 노립니다.

  3. 배송지 세탁: 배송지는 빈집이나 오피스텔 무인 택배함, 혹은 길거리의 특정 장소로 지정하여 추적을 따돌립니다.

일부 피해자들의 로그인 기록을 추적한 결과, 중국이나 동남아 등 해외 IP가 아닌 국내 VPN(가상사설망)을 경유한 접속 흔적이 발견되었습니다. 이는 범죄 조직이 한국의 수사망을 피하고, 쿠팡의 이상 거래 탐지 시스템(FDS)을 우회하기 위해 치밀하게 준비했다는 증거입니다.

5. 쿠팡의 대응, 이대로 괜찮은가? : “책임은 고객에게?”

 

피해자들을 두 번 울리는 것은 금전적 피해뿐만이 아닙니다. 바로 쿠팡 측의 미온적인 대처입니다.

많은 피해자들이 해킹 피해를 신고했을 때, 고객센터로부터 다음과 같은 답변을 들었다고 증언합니다.

“고객님의 아이디와 비밀번호 관리가 소홀하여 발생한 일이므로, 회사 차원의 전액 보상은 어렵습니다.” “수사 기관에 신고하시고 결과를 기다리셔야 합니다.”

물론, 1차적으로 개인 정보 유출의 책임이 사용자에게 있을 수 있습니다. 그러나 금융 기능을 수행하는 플랫폼으로서 ‘이상 징후 탐지’와 ‘2차 보안 장치’를 제대로 갖추지 않은 책임은 플랫폼에도 있다는 것이 전문가들의 중론입니다.

평소 기저귀나 생수를 사던 30대 주부 계정에서, 갑자기 새벽 4시에 200만 원짜리 게이밍 노트북이 낯선 주소지로 주문되었다면? 정상적인 FDS(이상 금융 거래 탐지 시스템)라면 이를 차단하거나, 최소한 본인 확인 절차(전화, 문자 인증)를 거쳤어야 합니다. 쿠팡은 이 부분에서 시중 은행이나 타 페이 서비스에 비해 현저히 낮은 보안 수준을 보여주고 있습니다.

6. 법적 사각지대: 전자금융거래법의 한계

 

현행 전자금융거래법상, 공인인증서나 비밀번호 위조·변조로 인한 사고가 아닌 경우, 즉 사용자의 부주의(비밀번호 유출 등)가 개입된 경우 금융사의 배상 책임이 제한될 수 있습니다. 쿠팡과 같은 이커머스 업체들은 이 조항을 근거로 소극적인 태도를 보일 수 있는 것입니다.

하지만 전문가들은 **”간편 결제의 편의성을 위해 보안 절차를 생략한 것은 플랫폼의 영업 전략이므로, 그에 따른 리스크(Risk) 역시 플랫폼이 분담해야 한다”**고 지적합니다. 실제로 미국이나 유럽의 경우, 이러한 부정 사용에 대해 소비자의 책임을 최소화하고 플랫폼의 입증 책임을 강화하는 추세입니다.

7. 당신의 계정을 지키기 위한 ‘생존 수칙’

 

기업의 보안 시스템이 강화되기를 마냥 기다릴 수만은 없습니다. 지금 당장 내 재산을 지키기 위해 우리가 할 수 있는 조치들을 정리했습니다.

  • 1. ‘2단계 인증’ 필수 설정: 지금 즉시 쿠팡 앱 설정에 들어가 보안 기능을 확인하십시오. 로그인 시 휴대폰 문자나 이메일 인증을 거치도록 설정해야 합니다. (아직 이 기능이 완벽하지 않다면, 비밀번호라도 즉시 변경하십시오.)

  • 2. 자동 결제(원터치 결제) 해제: ‘나중 결제’나 ‘원터치 결제’ 기능을 끄십시오. 결제할 때마다 비밀번호 6자리를 입력하거나 생체 인증을 하도록 설정을 변경하는 번거로움이 당신의 200만 원을 지킵니다.

  • 3. 비밀번호 ‘돌려막기’ 금지: 쿠팡의 비밀번호는 네이버, 구글, 다음 등 다른 사이트와 다르게 설정하십시오. 특수문자를 포함하여 어렵게 만드는 것이 좋습니다.

  • 4. 해외 로그인 차단 및 알림 설정: 로그인 알림 기능을 켜두어, 내가 접속하지 않았는데 로그인이 되었다는 알림이 오면 즉시 비번을 바꾸고 고객센터에 신고하십시오.

  • 5. 등록된 카드 정보 삭제: 가장 확실한 방법은 사용하지 않을 때 등록된 카드를 삭제해두는 것입니다. 번거롭더라도 해킹의 위험보다는 낫습니다.

  • ‘마천루의 그늘’ 홍콩 아파트 화재, 반복되는 참사의 해부학: 구조적 모순과 일상의 위험이 빚어낸 비극 – kyeonguk

8. 마치며: ‘편리함’보다 중요한 것은 ‘안전’이다

쿠팡은 명실상부한 대한민국 유통의 공룡입니다. 하지만 덩치에 걸맞지 않은 보안 의식은 소비자의 신뢰를 갉아먹고 있습니다.

이번 사태는 단순한 해킹 사건이 아닙니다. **”편리함이 곧 경쟁력”**이라고 외치며 보안이라는 안전벨트를 느슨하게 풀어버린 우리 IT 생태계 전체에 울리는 경종입니다.

소비자는 더 똑똑해져야 하고, 기업은 더 책임감을 느껴야 합니다. 쿠팡은 더 이상 “비밀번호 관리는 고객 몫”이라는 방어 뒤에 숨지 말고, FDS 고도화, 타 기기 접속 시 강력한 본인 인증 도입, 부정 결제 피해에 대한 선제적 보상안을 마련해야 할 것입니다.

당신의 쿠팡 앱은 지금 안전합니까? 오늘 밤, 잠들기 전 반드시 비밀번호를 변경하시길 권합니다.

[관련 태그] #쿠팡해킹 #쿠팡부정결제 #크리덴셜스터핑 #스미싱 #보안불감증 #사이버범죄 #개인정보보호 #소비자권리 #IT뉴스 #심층리포트

Download Ai Generated, Hacker, Data. Royalty-Free Stock Illustration Image – Pixabay

댓글 남기기